Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL XLAB Lehrerfortbildung 2011 Andreas Ißleiber.

Ähnliche Präsentationen


Präsentation zum Thema: "1 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL XLAB Lehrerfortbildung 2011 Andreas Ißleiber."—  Präsentation transkript:

1 1 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL XLAB Lehrerfortbildung 2011 Andreas Ißleiber

2 Netzwerk Grundlagen 10/2009 Andreas Ißleiber 2

3 Netzwerk: Physikalische Verbindungen BNC für RG-58 Koaxialkabel RJ45 für Twisted Pair Kabel ST Stecker (LWL) SC Stecker (LWL) Funk (WLAN), Blue-Tooth

4 OSI-Referenzmodell (7 Schichten) Anwendungen: http(www), (SMTP), FTP, SSH, Telnet etc. IP-Adressen Protokolle: TCP, UDP, ICMP etc. Netzwerkkabel, Anschlüsse 4

5 Kommunikation im OSI-Referenzmodell Kommunikation erfolgt in gleichen Schichten (horizontal), bei gleichen Protokollen 5

6 MAC-Adressen -Media Access Control (auch Ethernetadresse genannt) -Ist eine 48 bit große Adresse (6 Bytes) = 2^16 * 2^16 * 2^16 = 65536*65536*65536 = 2,8^E14 Adressen -MAC-Adresse ist (weltweit) eindeutig, -MAC-Adresse ist direkt an die Hardware ( z.B. Ethernetkarte) gebunden Format & Schreibweisen: 00-CF-A7-34-0B-13 (oder 00:CF:A7:34:0B:13) Besondere MAC-Adressen: FF-FF-FF-FF-FF-FF (Broadcast) 6

7 PC2PC3PC4PC5 PC1 HUB (Layer 1) Netzwerkpakete werden immer an alle Ports(Anschlüssen) übertragen PC2PC3PC4PC5 PC1 Switch (Layer 2) Netzwerkpakete werden nur! zwischen den kommunizierenden Ports(Rechnern) übertragen Aktive Netzwerkgeräte HUB & Switch Unterschiede: Layer 1 und Layer 2 7

8 Aktive Netzwerkkomponenten im OSI-Modell Layer , HUB } 8

9 Byte 1Byte 2Byte 3Byte KlasseIP-Adresse1.ByteNetzHosts A1-1260xxxxxxx B xxxxxx C xxxxx Jeder Rechner in einem TCP/IP-Netzwerk benötigt eine eindeutige IP-Adresse. Eine IP-Adresse besteht aus 4-Bytes (Bsp: ), die sich aus zwei Teilen, dem Netzwerk- und dem Host-Anteil, zusammensetzt. Insgesamt lassen sich so 2³² = Adressen im Internet darstellen. IP-Adressen sind in Klassen unterteilt (definiert durch erste 3 Bits des ersten Bytes einer IP-Adresse) IP-Adressen 9

10 IP-Adressen: Klassen 10

11 Besondere IP-Adressen 127.x.x.x Localhost (oft: ) 255 (im Host Teil) (Bsp: ) Broadcast-Adresse Broadcast 0 (im Netz-Teil) Netzwerk-Adresse (Bsp: ) 11

12 IP-Adressen & Subnetzmasken 12

13 Berechnung der Subnetze (Hostanteil, Netzanteil) dezimalbinär IP-Adresse Subnetzmaske Netz(Anteil) Host(Anteil) Berechung des Netz-Anteils durch bitweises, logisches UND zwischen IP-Adresse und Subnetzmaske 13

14 Internet Protocol (IP) IP/ICMP ARP TCP / UDP Telnet FTP SMTP Ver- kabelung 14

15 Address Resolution Protocol (ARP) IP/ICMP ARP TCP / UDP Telnet FTP SMTP Ver- kabelung 15

16 Address Resolution Protocol (ARP) 16

17 Höhere Schichten (Protokolle) (TCP) = Transmission Control Protocol setzt direkt auf dem Internet Protokoll (IP) auf (TCP/IP) garantiert eine – fehlergesicherte, – zuverlässige Transportverbindung – zwischen zwei Rechnersystemen (Ende zu Ende Kontrolle) Verbindungsmanagement (3way-Handshake) 17

18 TCP Header IP/ICMP ARP TCP / UDP Telnet FTP SMTP Ver- kabelung 18

19 Wichtige (well known) TCP-Ports 20/21FTP (Filetransfer) 23Telnet 25SMTP ( ) 80HTTP (World Wide Web) 443HTTPs(Secure HTTP) 161/162SNMP (Netzwerkmanagement) 19

20 (UDP)=User Datagram Protocol setzt direkt auf dem Internet Protokoll (IP) auf Datagram Service zwischen Rechnern (keine virtuelle Verbindung) Im Gegensatz zu TCP: Transport Protokoll ohne End to End Kontrolle kein Verbindungsmanagement (keine aktiven Verbindungen!) keine Flußkontrolle kein Multiplexmechanismus keine Zeitüberwachung keine Fehlerbehandlung 20

21 UDP Header IP/ICMP ARP TCP / UDP Telnet FTP SMTP Ver- kabelung 21

22 Vergleich TCP und UDP 22

23 MAC-Adresse=00:CF:A7:34:0B:13 Computer - Hardware - physical link Betriebssystem - Protokolle:TCP,UDP - IP-Stack - Netzwerktreiber Anwendungen -Software IP-Adresse= Subnetzmaske= Gateway= TCP-Port=80 TCP-Port=25 … http Zusammenspiel der Komponenten 23

24 24 TCP-Session Webserver: Client: Nr. SourcePortDestination 1.) ) (>1024) Source Port=1025, Dest-Port=80 Source Port=80, Des.Port=1025

25 25 UDP-Session DNS-Server: Client: Nr. SourcePortDestination 1.) ) (>1024) Source Port=1030, Dest-Port=53 Source Port=53, Des.Port=1030

26 Komprommittierung im Netzwerk ARP Flooding MAC-Address Port timeout :F2:EA:67:08: s 00:4F:D7:A3:89:10 2 8s 00:47:12:E5:D8:9E 3 22s Switch forwarding database MAC:00:F2:EA:67:08:23 MAC:00:4F:D7:A3:89:10 MAC:00:47:12:E5:D8:9E 00:47:12:E5:D8:9E 12:43:DF:EA:80:90 00:45:DF:F2:34:87 … u.v.m. Fluten der Switch forwarding database mit Einer Vielzahl vom MAC-Adressen 26

27 Übungen: 27 1.) Wie viele IP-Adressen können im Netz ( ) mit der Subnetzmaske ( ) vergeben werden ? ______________ 2.) Wie lautet die (Bit)Schreibweise einer IP-Adresse aus dem Netzwerk in Übung 1.) ( /bit) ?________________________ 3.) Ist die folgende IP Adresse ( ) gültig ? [Ja] [nein] Begründung ? _____________________________________________________________________________ _________________________________________________________________________________________ 4.) Wie lautet die Subnetzmaske der IP-Adresse ( /22) ?__________________________________ 5.) Zwei Rechner (Rechner A: /26, Rechner B: /26) sind direkt über einen Ethernet-Switch miteinander verbunden. Können die Rechner direkt über den Switch miteinander über das IP-Protokoll kommunizieren, wenn keine weitere aktive Netzwerkkomponenten wie z.B. ein Router im Netzwerk angeschlossen ist ? [ja] [nein] Begründung ? _________________________________________________________________________________ _________________________________________________________________________________

28 Übungen: 28 6.) Ihnen steht das Netzwerk ( /28) zur Verfügung. Teilen Sie dieses Netz in zwei gleich große Subnetsbereiche auf. Wie lauten die beiden Netzwerke ? ________________________________________________________________________________________ Füllen Sie die fehlenden Daten, basierend aus Aufg.6 aus: Netz1 (Bit-Schreibweise): ____/____ Netz2 (Bit-Schreibweise): ____/____ Subnetzmaske Netz1: ____._____ Subnetzmaske Netz2: ____._____ Netz 1: Erste IP-Adresse: _____, Letzte IP-Adresse: _______ Netz 2: Erste IP-Adresse: _____, Letzte IP-Adresse: _______ Wieviele IP-Adressen können in jedem der beiden Netze vergeben werden ? __________________________

29 Lösung Aufg 6) /29 Subnet, Valid Hosts, Broadcast , to , , to , , to ,

30 30 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Schutzmechanismen

31 31 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen 10/2000 Andreas Ißleiber LAN Einsatz von Firewalls Internet Firewall Router DMZ Öffentliche Server Web,Mail,DNS, etc. IP: GW: IP: GW: Transparente FW: Vorteil : Die bisherige Netzstruktur kann beibehalten bleiben Eine transparente FW kann bei Ausfall schnell aus dem Netz entfernt werden Die FW stellt häufig ein "single point of failure" dar. Lösung: Redundanz schaffen FW mit NAT/PAT: Verwendet die FW NAT, so können im LAN-Bereich "private network"-Adressen benutzt werden. Vorteil: Ein direkter Zugriff von Außen auf "private network"-Adressen ist allein aufgrund des verwendeten Adressbereiches nicht möglich. Die Anzahl der "realen" im Internet sichtbaren IP-Adressen reduziert sich auf eine IP-Adresse Nachteil: Fällt die FW aus, ist ein Zugriff vom LAN auf das Internet nicht möglich NAT IP Umsetzung: FW mit direkter Umsetzung NAT<>IP haben Vorteile. Dadurch ist ein Zugriff von Außen auf Rechner, trotz Verwendung von NAT(private networks), möglich IP: GW: NAT NAT& IP Umsetung Lokaler Server: IP: GW: Lokaler Server: IP: GW: Server ist vom Internet erreichbar IP: Externe IP: GW: DMZ Die FW sollte über eine DMZ verfügen, damit Zugriffe auf öffentliche Dienste nicht in das geschützte LAN erfolgen müssen. Ggf. Firewalls mit mehreren Ports einsetzen, damit auch andere Abteilungen getrennt geschützt werden können (Verwaltung) Sicherheit in Netzen DPZ 11/2003

32 32 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen DMZ LAN internes Netz Firewall Aufteilung der internen- und öffentlichen Dienste Internet öffentliche Server Web,Mail,DNS, etc. ! Firewall Grundregeln auf der FW: QuelleDienst allow / rejectZiel DMZalle Internet LANalle Internet LANalle DMZ Internetalle LAN Internetalle/einige DMZ DMZalle LAN Grundregeln auf der FW: QuelleDienst allow / rejectZiel DMZalle Internet LANalle Internet LANalle DMZ Internetalle LAN Internetalle/einige DMZ DMZalle LAN 10/2000 Andreas Ißleiber 1)Öffentliche Server, in der DMZ(one), sollten keine sicherheitsrelevanten Daten halten, da diese Server häufig das primäre Ziel für Angriffe darstellen 2)File- sowie Web/FTP/Mailserver sollten nicht auf dem gleichen Rechner laufen. Ein erfolgreicher Angriff auf Server in der DMZ darf sich nicht auf sicherheitsrelevante Bereiche des LAN´s ausdehnen 3)Strikte Trennung zwischen DMZ und LAN ist das Ziel. Abhängigkeiten zwischen NT- Servern in DMZ und LAN sind nach Möglichkeit aufzulösen. -> keine Vertrauensstellung zwischen NT-Domänen in DMZ und LAN Bereich -> Authentifizierung vom DMZ in den LAN Bereich ist zu vermeiden 4)RAS-Server nicht! im LAN betrieben werden. Der Nutzen eines RAS-Servers ist mit den daraus resultierenden Sicherheitslücken abzuwägen -> Alternative: Fremde Provider und via VPN ins eigene Netz 5)Ein RAS-Server im LAN reduziert die Gesamtsicherheit auf das Niveau des RAS-Servers. Ist der Zugriff via Einwahl auf interne Netzwerkressourcen erforderlich, ist der Einsatz eines VPN-Clients sinnvoll. Die Einwahlanlage kann dann in der DMZ installiert sein, oder es wird zur Einwahl ein fremder Provider genutzt. 6)Ist ein Einwahlservers unumgänglich, so sollte als Authentifizierungsverfahren verschlüsselte Verfahren CHAP(MS-CHAP V2), oder Zertifikate verwendet werden 7)DMZ ist i.d.R. selbst bei "offenen "Filtern, gegen IP-Spoofing, DoS Attacken durch die FW geschützt Sicherheit in Netzen DPZ 11/2003

33 33 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Typisches Scenario DMZ Internes LAN Internet Mailserver und PDC der Domäne A Firewall Übergeordneter DNS Erforderliche Regeln auf der FW: QuelleDienst allow / rejectZiel Bemerkung InternetSMTP(25) (1) Mailgateway (6)DNS(53) (2) Zonentransfer (TCP & UDP) Internethttp(80) (2) Webzugriff LANalle Internet DMZalle Internet LANalle DMZ Internetalle LAN Internetalle DMZ DMZalle LAN Erforderliche Regeln auf der FW: QuelleDienst allow / rejectZiel Bemerkung InternetSMTP(25) (1) Mailgateway (6)DNS(53) (2) Zonentransfer (TCP & UDP) Internethttp(80) (2) Webzugriff LANalle Internet DMZalle Internet LANalle DMZ Internetalle LAN Internetalle DMZ DMZalle LAN DNS und Webserver 5 RAS-Server als Mitglied der Domäne A RAS-Server greift auf die Paßwörter des PDC (1) zurück Zentraler PDC der Domäne B Mailserver (PDC) in DMZ DNS & Webserver in DMZ PDC im LAN (geschützt) Clients im LAN (geschützt) RAS-Server in DMZ Zentraler Terminalserver 10/2000 Andreas Ißleiber Sicherheit in Netzen DPZ 11/2003

34 34 Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen Mehr Sicherheit durch VPN DMZLAN RAS, Einwahl- Server, CHAP Internes Netz VPN-fähige Firewall VPN Clients über ein Einwahlserver VPN Clients aus dem Internet oder Fremd-Provider Internet- router VPN-Tunnel 10/2000 Andreas Ißleiber 1)VPN (IPSec) ist ein geeignetes Verfahren, Verbindungen in das gesicherte LAN über unsichere Netze (Internet) zu führen 2)IPSec arbeitet transparent, sodass die IP-Anwendungen den verschlüsselten Datenaustausch nicht bemerken 3)Einige FW sind gleichzeitig in der Lage, VPN zu Terminieren/tunneln (VPN-Gateway) 4)Als Verschlüsselunbgsverfahren sollte IPSEC/3DES eingesetzt werden 5)Wenn administrative Zugriffe auf lokale Ressourcen im geschützten LAN zugreifen, ist die Benutzung von VPN eine ideale Lösung 6)Die schlechtere Alternative ist das Öffnen der Firewall durch erweiterte Filterregeln oder die Einschränkung der Dienste der Server Sicherheit in Netzen DPZ 11/2003

35 35 Moderne Sicherheitsmechanismen (WLAN und lokale Netze) EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security) 3/2003, Andreas Ißleiber x -> Authentifizierung auf Portebene (nicht nur für FunkLANs) x bietet allein keine Verschlüsselung (erst Kombination mit EAP-TLS) - Switchport blockiert bis zur vollständigen Authentifizierung (Zutrittsregelung bereits am Eingang des Netzwerkes) - Layer 2 Verfahren -> Protokollunabhängig (Übertragung von AP,IPX/SPX,NetBEUI etc.) - EAP-TLS & 802.1x oft als Kombination eingesetzt - nutzt RADIUS als zentrale Authentifizierungsdatenbank (RADIUS kann ggf. auf ADS,YP,NT-Domains etc. zurückgreifen) - Client Authentifizierung erfolgt auf Link Layer. IP-Adressen sind zu diesem Zeitpunkt nicht erforderlich (wird z.B. erst bei erfolgreicher Auth. durch DHCP vergeben) 10/2003 Andreas Ißleiber 802.1x Standard: SPAM & Sicherheit in Netzen

36 36 Moderne Sicherheitsmechanismen (WLAN und lokale Netze) 802.1X Prinzip 3/2003, Andreas Ißleiber 10/2003 Andreas Ißleiber RADIUS-Server 802.1x fähiger L2 Switch Supplicant oder Bittsteller Authenticator Authentication Server Proxy-Server Client fragt nicht direkt den RADIUS Server Bei existierendem nicht 802.1x fähigem RADIUS Server -> Proxy Server Netz SPAM & Sicherheit in Netzen

37 37 3/2003, Andreas Ißleiber + Durch extra tagging Feld getrennt von anderen Netzwerkverkehr + Layer 2 Technik, daher Multiprotokollfähig + Auf modernen Switches nahezu überall verfügbar - Komplexe Struktur - Aufwendige und arbeitsintensive Integration - VLANs allein bilden KEIN! ausreichendes Sicherheitsmodell (Kombination mit Packetfilter, Firewall erforderlich) 10/2003 Andreas Ißleiber Moderne Sicherheitsmechanismen (WLAN und lokale Netze) VLAN: (Virtual LAN) SPAM & Sicherheit in Netzen

38 38 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Gefahr im Funk-LAN

39 39 Die Gefahren im Funk-LAN: Diebstahl der Hardware (Passwörter und ggf. Schlüssel werden mit der Hardware entwendet) Fremde Accesspoints inmitten eines Netzes fangen legale Benutzer ab FunkLAN hinter einer Firewall betrieben, öffnet das Netz Funk-Reichweite der Accesspoints wird unterschätzt Wardriver: Laptops mit freier Software Netstumbler und Airsnort in Kombination mit GPS Empfängern spüren WLANs auf Wardriving Forum Wardriver Wardriver (heise) Wardriving Forum Wardriver Wardriver (heise) Zugriff durch unzureichende Verschlüsselung (WEP,WEP+ und nicht WPA) Sicherheit in FunkLANs & lokalen Netzen 10/2003 Andreas Ißleiber

40 40 FunkLAN Client sicher machen Absicherung der Funk Clients Selbst der Einsatz von VPN enlastet nicht davor, den lokalen Rechner sicher zu machen Trennen der LAN-Manager Dienste (Bindungen) Um den Zugriff im internen VLAN (vor der Authentifizierung) Fremder zu vermeiden, ist die Trennung von LM zum Funkinterface sinnvoll Personal Firewall auf Client Zur Absicherung des Clients ist ggf.eine Personal Firewall sinnvoll (Achtung: für IPSec FW öffnen). Laufwerksfreigaben im FunkLAN vermeiden Freigaben von Ressourcen des Clients erlauben den Zugriff Fremder auf den eigenen Client 10/2003 Andreas Ißleiber SPAM & Sicherheit in Netzen

41 41 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Schutz im Netzwerk Durch IPS ( I ntrusion P revention S ystem) Schutz im Netzwerk Durch IPS ( I ntrusion P revention S ystem)

42 42 Was ist ein IPS ? Traffic wird im Vergleich zum IDS bei Angriffen … Alarmiert, Reduziert, Blockiert, Source IP zeitweise geblockt (alles bidirektional ?!) Aktion: ggf. Senden von TCP-Reset an die Quelle Transparenter Modus (inline mode), keine Änderungen der Daten Erkennung in L2-L7 Erkennung muß genau und schnell sein, sonst wird legaler Traffic blockiert (selbstgebautes DoS) Hohe Bandbreite erforderlich (kein Engpass im Netz) Internet Logging und ggf. Auswertung IPS L2-Bridge Firewall LAN block bei Attacken

43 43 IPS System von Tippingpoint Gerät: TippingPoint 2400 Kombination Hard- & Softwarelösung Signatur, Ereignis, verhaltensbasierte Erkennung Kurzfristige automatische Signaturupdates Verschiedene Eventkategorien (Critical... Minor) Feintuning der Events möglich Aktionen: Block, Inform, Reduce … Ausgereiftes Logging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik) Bandbreite GBit/s (transparent), 4 Doppelports (GBit/s)

44 IPS System von Tippingpoint (3COM) TippingPoint 2400, 2 Wochen im Test bei der GWDG am - WIN Zugang (1GBit/s) - WLAN Übergang (100MBit/s) Internet GÖNET 1GBit/s Netzwerkanbindung des IPS

45 45 IPS in der GWDG Penetrationstest Opfer: PC mit debian (Knoppix) honeyd Angreifer:Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix iWhax,Nessus, nmap) Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE 100MBit/s …

46 46 IPS in der GWDG Nikto web scan nmap nessus Ping mit Inhalt Stacheldraht Attacke:IPS Logfile Event ID Penetration: kleiner Ausschnitt der Ergebnisse

47 47 IPS in der GWDG Penetrationstest Fazit: Die meisten provozierten Attacken wurden erkannt Nicht erkannt wurden: - SQL Injection - SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke)

48 48 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports No. 1 (immer noch) SQL-Slammer > 8E6 Events/Woche ( single UDP packet) Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) Viele interne Systeme, die externe Ziele angriffen wurden erkannt (Übereinstimmung mit unseren bisherigen Scripts)

49 49 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports Viele Spyware Verbindungen von Innen nach Aussen wurden erkannt und blockiert Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer) Event ID# HitsOhne SQL Slammer

50 50 Falscher Alarm (False Positive) Schwer zu beurteilen, während der Testphase gab es keinerlei Beschwerden bzgl. Störungen Tests innerhalb der GWDG bestätigten keine falsch positiv Erkennungen (Dennoch werden diese vermutlich existieren)

51 51 IPS in der GWDG Ergebnisse der Testphase: TrafficShaping Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und begrenzt (20 MBit/s) Auch hier gab es keine Benutzerbeschwerden (…es ist sicherlich schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren) MBits/s Σ alle Tauschbörsen Events bei Überschreitung d.Limits

52 52 IPS in der GWDG Tippingpoint Screenshots Dashboard

53 53 IPS in der GWDG Tippingpoint Screenshots

54 54 IPS in der GWDG Tippingpoint Screenshots

55 55 IPS in der GWDG Tippingpoint Screenshots

56 56 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen und Diskussionen … ? ? Diese und andere Folien finden Sie auch unter:


Herunterladen ppt "1 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL XLAB Lehrerfortbildung 2011 Andreas Ißleiber."

Ähnliche Präsentationen


Google-Anzeigen